Pourquoi protéger vos applications web ?
La sécurité des sites Internet est aujourd'hui l’un des aspects de la sécurité en entreprise le plus souvent négligé alors qu’il devrait être une priorité dans n'importe quelle organisation. De plus en plus, les pirates informatiques concentrent leurs efforts sur les applications web afin d’obtenir une approche des informations confidentielles et abuser des données sensibles comme les détails de client, les numéros de carte de crédit et autre. Les applications web réalisant des achats en ligne, des authentifications d’utilisateurs ou utilisant simplement tous types de contenu dynamique permettent à l’utilisateur d’interagir avec des données présents dans une base de données. Sur certaines applications, ces données peuvent être personnelles voir sensibles. Si ces applications web ne sont pas sécurisées, votre base de données entière de renseignements sensibles court un risque réel.
Comme tous les systèmes informatiques, une application web doit répondre à trois caractéristiques :
• Confidentialité
• Disponibilité
• Intégrité
La sécurisation des réseaux ainsi que l’installation d’un pare-feu ne fournit aucune protection contre les attaques web car celles-ci sont lancées sur le port 80 (le port par défaut pour les sites Internet) qui doit rester ouvert. Pour la stratégie de sécurité la plus complète, il est donc urgent que vous auditiez régulièrement vos applications web pour vérifi er la présence de vulnérabilités exploitables.
Pourquoi s’attaquer à une application web ?
Les failles web permettent des actions de plus en plus importantes de la part des pirates informatiques. Il est fini le temps où le piratage d’un site Web s’est contenté d’afficher une simple fenêtre sur la page de l’utilisateur ou bien le vol d’un cookie.
De nos jours, le piratage d’une application Web est nettement plus dangereux que cela :
• Défaçage complet ou partiel d’un site Internet.
• Accès aux données sensibles des utilisateurs.
Il est bel et bien temps d’inclure les sites web dans la politique de sécurité des entreprises et ceci de manière draconienne. Pour faire, nous allons maintenant vous présenter w3af.
Qu’est ce que w3af ?
W3AF ou bien encore Web Application Attack and Audit Framework est, comme son nom l’indique, un framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web. Pour ceux d’entre vous connaissant Métasploit, w3af peut être comparé à ce dernier en matière de pen-test sur les applications web.
W3af est un framework très complet placé sous licence GPL (General Public License) entièrement écrit en Python avec un code extrêmement bien commenté permettant ainsi à n’importe quel développeur potentiel de créer ses propres modules/exploits.
Grossièrement, w3af peut se décomposer en trois catégories :
• Découverte
• Audit
• Attaque
Les plugins de « découverte » ont pour but de rechercher des formulaires, des urls ou plus généralement tout point potentiel d’injection de code malveillant. Un exemple classique de plugin de découverte est web spider. Ce plugin prend une URL en entrée et retourne un ou plusieurs points d'injection.
Les plugins d’ « audit » attendent les points d'injection découverts par les plugins de découverte et envoient des données construites spécifiquement à tous ces derniers afin de trouver des vulnérabilités. Un exemple classique de plugin audit est un plugin qui recherche des vulnérabilités d'injection SQL.
Les plugins d’ « attaque » ont pour but d'exploiter les vulnérabilités trouvées par les plugins d’audit et de découverte. Ils retournent en général un Shell sur le serveur distant, ou un dump des tables distantes dans le cas des exploits d'injections SQL.
Conclusion
En conclusion, Web Application Attack and Audit Framework est un framework d’audit et d’exploitation des vulnérabilités des applications web extrêmement complet, pratique et simple d’utilisation. Tant son interface graphique que sa ligne de commande sont réellement complètes et permettent aux professionnels de la sécurité des systèmes d’informations, des audits de qualités extrêmement précis. A noter également que w3af est présent dans l’excellente distribution entièrement consacrée au test de pénétration des applications web : Samurai Web Testing Framework.
Tutoriel vidéo « Arabe »
1 commentaire:
Enregistrer un commentaire